代码审计 - 第 21 | CN-SEC 中文网

安全博客

JAVA反序列化 & Commons-Collections-3.1 反序列化分析

目录基础知识简单例子反序列化触发点扩展ObjectInputStream.readUnsharedXMLDecoder.readObjectYaml.loadXStream.fromXMLObjec...

12月24日6 views评论

阅读全文

代码审计

Java反序列化漏洞 | log4j2远程代码执行漏洞原理+漏洞复现

0x1 前言在看我写的log4j2远程代码执行漏洞之前，师傅们可以看看我前面写的《JNDI注入原理及利用IDEA漏洞复现》这篇文章，因为log4j2远程代码执行漏洞里面有讲JNDI注入，...

12月24日22 views评论

阅读全文

代码审计

蓝凌EKP V16 未授权SQL注入漏洞分析

本地测试环境版本：V16.0.6.R.20220729 漏洞分析漏洞路径在：/fssc/common/fssc_common_portlet/fsscCommonPortlet.do，对应的Acti...

12月24日113 views评论

阅读全文

代码审计

某小程序源码审计

环境搭建链接: https://pan.baidu.com/s/1SXPImEWDUgWUDjgbngNCfg?pwd=hy9r 提取码: hy9r导入sql新建数据库，将root1.sql导入数据库...

12月23日15 views评论

阅读全文

代码审计

JAVA代审-RuoYi4.6.0

点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号菜狗安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵...

12月20日16 views评论

阅读全文

代码审计

Emlog-Pro 2.4.1最新版存在命令执行漏洞(RCE)

0x00 前言 EMLOG 是一款轻量级开源博客和CMS建站系统，速度快、省资源、易上手，适合各种规模的站点搭建。功能支持:Markdown支持多用户角色标签和分类多媒体资源管理 ...

12月20日64 views评论

阅读全文

代码审计

JAVA代审-DocSys审计

12月20日10 views评论

阅读全文

代码审计

对ssti无回显的新版内存马学习

昨天打国赛遇见一个无回显ssti的题目，顺便学习了一下源码：fromflaskimportFlask,request,render_template_stringimportsocketimportt...

12月20日8 views评论

阅读全文

代码审计

JAVA安全之JDK8u141版本绕过研究

基本介绍从JDK8u141开始JEP290中针对RegistryImpl_Skel#dispatch中bind、unbind、rebind操作增加了checkAccess检查，此项检查只允许来源为本地...

12月20日9 views评论

阅读全文

代码审计

某源码前台RCE漏洞分析

一、前言起因是一位师傅找我，大致意思是他们被上了webshell然后源码给我让我从中找出来他们用的什么0day让我给（抢了）研究研究。首先分析日志的时候发现。存在很多这种文件，所以找到一个文...

12月19日15 views评论

阅读全文

代码审计

某家政上门预约小程序系统存在前台任意文件读取漏洞 PoC

0x00 前言 thinkphp家政上门预约服务小程序家政保洁师傅上门服务小程序上门服务在线派单+安装教程上门预约服务派单小程序家政小程序同城预约开源代码独立版+安装教程 Fofa指纹...

12月19日28 views评论

阅读全文

代码审计

Java反序列化之RMI(一)

Java RMI0x01 RMI简介RMI(Remote Method Invocation)远程方法调用，一种允许程序跨JVM调用对象的思想。调用方法即会涉及到参数传递，在Java中，如果我们想完整...

12月18日7 views已关闭评论

阅读全文

JAVA反序列化 & Commons-Collections-3.1 反序列化分析

Java反序列化漏洞 | log4j2远程代码执行漏洞原理+漏洞复现

蓝凌EKP V16 未授权SQL注入漏洞分析

某小程序源码审计

JAVA代审-RuoYi4.6.0

Emlog-Pro 2.4.1最新版存在命令执行漏洞(RCE)

JAVA代审-DocSys审计

对ssti无回显的新版内存马学习

JAVA安全之JDK8u141版本绕过研究

某源码前台RCE漏洞分析

某家政上门预约小程序系统存在前台任意文件读取漏洞 PoC

Java反序列化之RMI(一)

在线咨询

微信